移动办公系统(MOA)建设方案

移动办公系统（MOA）建设方案

2011年1月

目录

1项目概述 (2)

2技术方案概述 (4)

2.1MOA概述 (4)

2.2MOA工作原理简介 (6)

2.3MOA系统的部署 (7)

3详细设计 (9)

3.1系统现状与需求 (9)

3.1.1系统现状 (9)

3.1.2用户需求 (9)

3.2设计理念 (10)

3.3系统架构设计 (11)

3.4网络控制 (12)

3.5用户和终端控制 (13)

3.6数据和代码控制 (14)

3.7业务控制 (15)

3.8精简设计 (16)

3.9系统物理结构图 (17)

3.10应用软件的部署 (17)

3.11移动终端用户的安全接入 (18)

1 项目概述

国家努力推进的各大“金字工程”在把传统政务数字化，而移动信息化大潮又让很多数字化的业务过程“移动”起来。

将市政府办公电子化、数字化、移动化，从而提高办公效率，做一心一意为人民服务一直是国家公务人员期望达到的目标。而“移动数字城市”的逐步发展正将这一目标拉近。

众所周知，市政府系统是数据集中的中心，数据访问量巨大，要求设备具有极高的稳定性、功能兼容性和较高的处理性能。

市政府对MOA的应用主要体现在移动办公、信息系统查询等方面。市政府人员外出办公时，需要在线查询时，使用手机终端(或PDA)接入市政府APN网络，访问单位内部网页，进行实时公文处理。

由于市政府对从内部网接入移动网络时的安全性非常重视，中国移动MOA 和APN网络在通信和传输过程中，对市政府内部数据进行加密处理。同时，为了更好地保证网络数据传输的安全性，MOA服务器和市政府手机终端之间建立加密的图形碎片专用隧道。通过设置在市政府内部网的MOA服务器实现市政府用户身份认证。同时，构建市政府移动信息查询系统的APN，以保证市政府专有系统的安全性。

移动办公自动化系统即移动OA，是以“简单、实用、使用不受地点限制”为设计理念开发的办公自动化系统。移动办公自动化系统网络部署方案是利用XXXX提供的GPRS/EDGE专用网络。在移动状态下，通过智能移动终端利用GPRS/EDGE专用网络实现查询、审批、回复、确认等OA办公操作，使办公信息可以随时随地地进行交互流动，整体运作更加协调。使得办公自动化系统除了传统的通过电脑办公的方式，用户还可通过手机进行办公系统的各种操作。涵盖办理待办、在办、待阅信息，浏览公告、查看附件、电子邮件等多种功能，并无缝衔接了电子邮件、短信等多种移动办公形式。通过专用移动终端的客户端程序，为用户实现随时随地的移动办公。除传统的通过电脑办公的方式，还可通过智能移动终端登录办公系统进行操作，带来更多样化的办公渠道，发挥办公系统更大的自身价值。产品在安装、设置、学习、使用、维护等环节直观简便，使用户可以将精力集中在办公本身，而非复杂的概念与操作，大大降低了用户的应用难度和应用成本。移动办公自动化系统具有以下特点：

高效：跨越了时间与空间的限制，将办公室的概念从一间屋子衍生到整

个世界。随时随地，只要需要就可以办公；

便捷：点击手机上的几个按键，迅速进入办公新世界；

强大：基于镜像技术的移动办公自动化系统直接与中间服务器通信，指

令都在中间服务器端执行，能够突破传统手机应用的种种限制，轻松实

现各种复杂应用；

易用：清晰而且逻辑合理的导航设计保证用户容易上手，不会再有面对

电脑屏幕上一堆按钮拿着鼠标而不知往哪点的尴尬；

先进：移动OA属于新兴的ICT技术，它结合了通信技术和信息技术的

最新成果，具有强大的生命力和无限的发展空间；

灵活：我们可以根据需求以及现有办公自动化系统的特点，通过定制，

使原有办公自动化系统的数据和业务处理模式可以完整的体现到手机

上；

持续发展和投资保护：使用基于镜像技术的移动办公系统，可以在用户

数量急剧扩容时，简单地通过增加中间服务器数量来扩大系统容量；而

且，其他业务系统进行移动化改造时，可以利用相同的中间服务器而无

需再单独购买服务器。这样，系统可以自始至终地支持市政府移动应用

的发展进程，永远不会落伍淘汰；

安全：中间服务器部署在市政府的内网，而市政府应用的数据只在中间

服务器和应用服务器之间传输，即实现了应用数据不出内网，极大地保

证了应用的安全性。而中间服务器与移动终端之间，只传递OSI表示层

信息，已经失去了敏感性，但也经过系统的加密后，在APN专网中传

输。因此，整个系统在各个环节上都具有完善的保护措施。

市政府目前使用的办公自动化系统，实现公文处理、政务信息、归档查询等主要功能，该系统平台运行于政务内网上，受线路和设备的限制，这就要求人员必须在办公室、电脑前才能实现对文件的办公操作，为了实现能够在任何时间、地点均能提供各种工作办理及信息通信的服务，脱离线缆与办公场地的束缚，拥有自由的移动办公空间，使得无论身处何地都能随时与办公系统保持密切联系，这就需要一套具有高安全性的移动自动化办公系统。

XXXX计划采用先进的MOA（MOA）平台，为XXXX政府提供移动OA 和移动Email业务。XXXX与XXXX合作运营MOA系统，运营的架构如下：

2 技术方案概述

2.1 MOA概述

我们推荐使用“MOA”市政府移动应用安全发布系统，来搭建移动OA发布平台，实现XXXX政府的移动办公需求。

以MOA系统搭建移动应用发布平台，可以将现有的IT应用快速、方便、

无损地移植到手机上。它不受行业和应用的限制，是个通用的移动IT应用发布平台，能够适用于绝大多数IT应用向手机发布。典型地，它经常用于以下两类市政府应用：

通用IT系统。通用IT系统包括OA、ERP、进销存、CRM、人力资源

管理、财务管理、电子邮件等各行业通用的IT应用系统。

行业业务系统。行业业务系统与本行业的专业密切相关，是本行业专用

的IT应用系统。

目前市政府在部署移动应用时经常遇到的问题：

1.市政府内部已有很多IT应用，整合难度很大。

2.把OA应用等应用发布到Internet，安全性低。

3.利用Wap技术实现办公，开发量大，等于把现有系统重新建设一次，

并且数据交互量大，手机容易死机。

MOA移动应用发布平台的到来解决上述市政府移动办公的难题：

1.应用发布技术，把市政府内部应用整合到MOA平台，快速，高效，

便捷。

2.手机或移动PC通过XXXXAPN专线或cmnet移动互联网访问MOA

平台，数据始终保持在XXXX政府的内网中，不会暴露到外网，安

全可靠。

3.MOA平台在市政府内网中访问市政府应用，再与客户端交互（手机

或移动PC），并且客户端与MOA平台直接是通过传输图象刷新来

进行交互，不会造成市政府应用信息外泄。带宽占用少（10-20kbps），

应用运行效率高。如下是使用MOA平台和不使用MOA平台的一

个响应时间对比图：

4.应用适配工作，只需要修改页面表现层显示效果，核心业务逻辑不

会涉及。

综上所述，依靠MOA的产品技术特性，安全快捷的实现了市政府移动办公需求。

2.2 MOA工作原理简介

MOA系统之所以能够实现卓越的移动办公及其他移动应用，是因为它具有其他移动应用系统完全不同的核心技术－镜像技术。

镜像技术，是将应用系统的输入输出界面，与应用系统的数据和逻辑完全分

离：

应用系统客户端的数据和逻辑，完全部署在MOA平台的服务器中，由

平台的服务器来处理应用系统客户端的计算任务；

手机终端只负责应用系统的输入输出工作：应用系统的屏幕显示，则由

手机终端来完成；用户对应用系统的鼠标键盘输入，也由手机终端来收

集，并发送给MOA平台。

在移动终端，用户看到的操作界面和PC上是一样的，用户不必再去适应新的系统。

2.3 MOA系统的部署

MOA平台部署十分简单，只需将MOA平台部署在市政府内网最外侧防火墙之内、应用系统之外即可，如图：

系统的典型部署方式如下：

MOA软件安装在平台服务器设备上，部署在IT应用系统和移动终端

之间。移动终端只能通过MOA平台来间接访问应用系统，而不能直

接访问应用系统。也就是说，MOA平台是移动终端访问应用系统的

唯一门户；

在移动终端上，一次性安装一个“虚拟代理”软件。移动终端将通过虚

拟代理与平台通信。这个虚拟代理对任何应用系统是通用的。除此

之外，移动终端上不需安装任何应用的客户端或代理；

所有被发布的应用系统的客户端全部安装在MOA平台上；

在MOA平台上，集中管理每个手机用户的帐号、口令、强认证策略、用户对应用的访问权限、用户审计策略等；

在MOA平台上，可以对用户和应用的各种参数进行配置，也可以使

用默认参数；

移动终端、MOA平台、应用系统之间使用IP网络互联。一般来说，

平台和应用系统之间的网络质量要求高些，平台和移动终端之间的

网络质量要求较低。

MOA平台部署的关键问题：

被发布的应用系统的客户端只安装在MOA平台上，所有应用计算都

在MOA平台上进行。手机上只安装一个功能简单的虚拟代理。因此，

解决了移动终端性能低下的问题；

被发布的应用系统需要满足多个移动终端对MOA平台的并发访问，

因此，MOA平台的软件系统具有支持多用户的能力；

MOA平台服务器的硬件架构和操作系统，也是可以支持多用户的系

统。目前主流服务器和操作系统都可以做到。由于应用客户端一般

运行在Windows操作系统之上，因此，平台服务器通常使用X86架构

的PC Server，操作系统通常选择Windows 2000/2003的服务器版本；

目前，大多数应用系统的客户端都可以支持多用户，可以正常运行

在发布平台上。对于一些不支持多用户的客户端，平台可以使用“隔

离技术”，对此客户端的每个instance分配一个完全封闭的运行环境，

使其可以在同一台服务器上运行并发的多instance。

3 详细设计

3.1 系统现状与需求

3.1.1 系统现状

需进一步与用户调研。

3.1.2 用户需求

在本项目中，XXXX政府的具体需求如下：

功能需求：将XXXX政府的OA和EMAIL系统发布到手机上，实现中

层以上干部的移动办公。移动办公用户数为200（？待调研）人，并发

率10％；

可靠性需求：由于移动OA系统是个辅助系统，暂不考虑冗余设计以节

省投资；

安全性需求：OA和EMAIL系统都是内网使用的系统，安全性较高。实

现移动办公后，不应降低系统的安全性；

扩展性需求：当系统因用户数增加、应用数增加等原因需要扩容时，应

可以实现平滑扩容，前期部署的设备应该可以继续使用，避免投资浪费；

3.2 设计理念

MOA系统的设计思想以安全为本。在系统的每个环节，无不体现了安全控制的理念。

XXXX政府的办公系统具有很高的安全要求。按照规范，OA和EMAIL系统不能与外网互联互通。而在移动应用的环境下，移动终端可能漫游到世界上的任何一个角落，增加了系统的安全风险。因此，需要通过对系统的有效安全控制，来规避因此带来的安全风险。

提高安全性的有效的方式是安全控制。良好的安全控制手段能够保证正常业务运行，又能隔离无关因素的介入。物理隔离是最可靠的安全控制手段，但也是最无奈的手段，因为它彻底否定了网络的最基本功能：互联互通。

我们对XXXX政府移动办公系统的设计也着重于安全控制，但并不是物理隔离，而是在保证正常业务能够互联互通基础上的安全控制措施。这些措施包括：网络控制。对于非正常业务的通信，在网络上予以阻止；

用户和终端控制。禁止非合法用户访问系统；禁止用户访问授权外的资

源；对用户的行为进行审计；

数据和代码控制。严格控制业务数据的流动方式和流动范围和应用代码

的部署范围，禁止数据和代码流入不安全的区域；防止数据和代码被他

人接触到。

业务控制。根据业务的安全性要求，决定什么样的业务可以在移动终端

上使用。

3.3 系统架构设计

按照目前世界上公认的安全域理论，我们将XXXX政府移动办公系统分为3个安全域：

1.内部域。内部域是目前XXXX政府IT系统的局域网及其中的IT设

备，包括路由器、交换机、服务器、存储设备、应用软件和数据等。

由于XXXX政府的核心系统和数据全部存在于内部域中，是XXXX

政府最重要的IT资产，因此它的安全级别是最高的，是我们需要重

点防护的区域。OA应用系统部署在内部域中。

内部域中的设备不能与其它域进行直接通信，以防止其它域中的恶

意攻击入侵内部域。

2.接入域。任何在XXXX政府办公区域之外的终端和系统需要访问内

部域中的应用系统，都不能与内部域建立直接通信，只能与接入域

建立通信，再由接入域代理通信。MOA发布平台就部署在接入域中，

它能够终止移动终端的访问请求，并代理移动终端与内部域中的应

用系统进行通信。

接入域是移动域和内部域之间的过渡区，其中都是资产价值较低的

IT系统。它直接与安全性最低的移动域通信，为内部域抵挡安全风

险。一旦发生恶意攻击，攻击也只能威胁到接入域中的设备，造成

的损失也很小。从这方面讲，它是内部域中高价值IT资产的替身。

3.移动域。移动域处于XXXX政府办公区域之外，移动终端（手机）

就处于移动域。由于XXXX政府对移动域中的设备不能完全控制（比

如无法完全控制手机的工作地点和使用方式），因此，此域中的设备

具有被病毒、木马、黑客入侵的可能性，安全性较低，资产价值也

最低。

为了实现以上设计目标，整个系统中，部署有6个安全控制点：

1.网闸

2.发布平台

3.防火墙

4.APN

5.移动终端

6.OA服务器

每个安全控制点都实现1个或多个安全控制功能。

3.4 网络控制

网络控制是在网络的关键位置，通常是安全域的接口处，对网络通信进行控制，决定什么样的通信被允许，什么样的通信被禁止。

网络控制的常见设备是防火墙和网闸。防火墙可以针对网络通信的地址和端口甚至应用层协议进行控制；而网闸不仅具有防火墙的功能，还能阻断内外网之间的直接通信，所有通信数据都由网闸进行“摆渡”，有效地阻止了针对内网的攻击行为。网闸是政府部门实现通信安全的最常用产品。

在本设计中，实现网络控制的控制点有如下几个：

防火墙（控制点3）。防火墙控制移动域与接入域之间的网络通信。在防

火墙上的控制策略如下：

允许手机终端主动对MOA服务器工作端口发起的网络通信；

其它网络通信一律禁止。

网闸（控制点1）。网闸控制内部域与接入域之间的网络通信。在网闸上，

部署以下控制策略：

允许MOA服务器主动发起的对OA服务器http业务的网络通

信；

MOA服务器不能直接与OA服务器通信。MOA服务器首先与

网闸建立连接，将数据发送给网闸，然后网闸断开连接；网闸

再与OA服务器建立连接，将MOA服务器的数据发送给OA服

务器。OA服务器对MOA服务器的应答通信也使用此机制；

其它网络通信一律禁止。

MOA服务器（控制点2）。MOA服务器上，可实现以下控制策略：

中止移动终端的访问请求。移动终端对应用的访问请求被中止

在MOA服务器上，由MOA服务器代替移动终端向OA服务器

发出请求。

协议转换。移动终端与MOA服务器之间的通信协议采用私有协

议，而MOA服务器与OA服务器之间的通信才使用http协议。

MOA服务器相当于协议转换器，可以防止网络通信中的恶意行

为被传播到OA服务器。

3.5 用户和终端控制

由于移动用户和移动终端的不确定性，因此，对每个试图使用OA应用的用户和终端，必须进行严格的鉴别。只有那些合法的、被授权的用户和终端，才能够使用OA应用。控制点有：

APN（控制点3）。它的控制策略有：

移动终端认证。APN上可以设置以手机号码为特征的终端准入。

当一个移动终端请求接入APN时，APN会获取此终端的号码，

并从数据库中查找此号码是否存在于数据库中。如果是，则允

许接入，否则拒绝接入。它能够有效控制终端接入的合法性。

MOA服务器（控制点2）。它的控制策略有：

用户认证。MOA服务器的数据库中存储了每个用户的用户名和

密码。当用户访问OA应用之前，必须先登录MOA服务器。

MOA服务器要求用户提供用户名和密码，并与数据库中的数据

进行比对。只有提供了正确的用户名和密码才被认为是合法用

户，才能登录服务器。

用户应用级授权。当用户登录MOA服务器后，服务器查询授权

数据库，对此用户进行授权。只有有权访问OA的用户才能够

启动OA系统，否则OA系统对此用户是不可见的。由于本项目

中，仅有OA一个应用，还不能体现授权的优势。当MOA服务

器发布多个应用系统时，授权的优势就可以体现出来。

用户操作级授权。MOA平台可以根据不同的用户，授予不同的

操作权限。例如，是否允许本地打印、是否允许上传下载附件、

是否允许复制粘贴、是否允许编辑等。

用户审计。MOA服务器可以对用户的行为进行记录和审计。记

录的信息包括：登录时间、启动了那个应用及时间、何时退出

应用、登出时间等。

3.6 数据和代码控制

应用的数据和代码都是安全保护的对象，最好的安全保护是将他们部署在安全和环境中，而不是风险高的环境中。同时，对恶意代码进行控制和查杀。

在本设计中，多个控制点保证了OA应用的数据和代码的安全：

MOA服务器（控制点2）。根据MOA系统的工作原理，OA应用的客户

端只部署在MOA服务器上，OA应用的数据只会被传送到MOA服务器

上，而不会被发送到安全性较低的移动终端上。这样，OA应用的客户

端和数据都仅在XXXX政府内部部署和通信，极大地保证OA应用的安

全性。同时，在MOA服务器上，安装防病毒系统和主机防护系统，以

防止病毒、木马和黑客的入侵。

APN专线（控制点4）。根据MOA原理，MOA服务器和手机终端之间

只传送应用界面图象和用户的键盘鼠标信息。这部分信息是在移动域中

传送的。虽然这些信息对窃听者已经没有什么价值了，但为了安全起见，

我们仍在设计中使用了APN专线，防止信息被窃取和篡改。使用了APN

专线，使移动域的安全性与市政府内网相当接近。

移动终端（控制点5）。移动终端的不确定性较大，XXXX政府也难以对

其进行有效的管理和控制，因此，移动终端的安全性较低，有可能被病

毒、木马、黑客等入侵，因此，应用数据和应用代码不适合部署在移动

终端上。根据MOA原理，移动终端上不会有应用代码和应用数据存在，

只有价值很低的应用屏幕图象和用户输入信息会存在于移动终端上，即

使被窃取和破坏，也不会造成什么损失。另外，移动终端与MOA服务

器之间主要通过私有协议通信，移动终端上的病毒和黑客也无法通过正

常通信入侵接入域。

3.7 业务控制

业务控制是指，对于安全性较低的移动终端，只允许其使用部分业务功能，而不是全部业务功能。

业务控制在OA服务器（控制点6）上实现。OA服务器将发布2套页面：一套是原始的页面，一套是针对移动终端定制的页面。原始页面还是提供给XXXX政府办公区内的用户使用，而定制页面对现有业务进行精简，把不适合移

动终端的业务删除或限制，以防止敏感信息发布到移动终端上。

3.8 精简设计

以上方案按照严格的安全域理论而设计。但在XXXX政府的实际情况中，有些部分可以适当精简，即不会影响系统的安全性，又能提高系统效率，节省建设投资。

我们注意到，在本项目中使用了APN作为移动域的通信线路。APN既能对接入的手机终端进行基于号码的认证，又能将系统的通信数据与外部隔离，形成封闭的网络环境。因此，移动域的安全性是相当高的，在通信安全性上甚至高于以intranet互联的内部单位（内部单位经常使用穿越互联网的VPN相互通信，其通信安全性不如APN专线）。再加上MOA平台是个功能强大的安全控制点，能够对手机进行严格的访问控制、访问代理和协议级的隔离，因此，接入域的设计完全可以简化，去掉网闸控制点。精简后的设计如下：

3.9 系统物理结构图

核心交换机Cat6509

EMAIL 服务器

MOA

服务器1移动终端

A P N

OA 服务器防火墙服务器2域控制器接入交换机

3.10 应用软件的部署

使用了MOA 平台后，应用软件的部署就极为简单，一般只需要以下步骤：

应用软件客户端安装。在MOA 平台的服务器上，安装OA 、Email 等应

用软件的客户端。由于XXXX 政府的OA 和Email 系统均为B/S 架构，

只需在MOA 平台上安装浏览器即可。

配置用户信息。在MOA 平台上增加有权访问应用系统的用户，以及这

些用户的权限等参数。

手机代理安装。在手机上，一次性安装一个MOA 平台的代理软件。

页面优化。如果用户需要，我们将对现有OA 和EMAIL 系统的页面进

行优化，以适应手机屏幕的显示。优化后的页面存储在现有的OA 和

EMAIL 服务器上。

3.11 移动终端用户的安全接入

对于移动终端接入采用SD-KEY的方式解决安全接入问题。

SD-KEY简介

SD-KEY是一种SD卡接口的硬件存储设备。SD-KEY的模样跟普通的SD卡一样，不同的是它里面存放了单片机或智能卡芯片，SD-KEY有一定的存储空间，可以存储用户的私钥以及数字证书，利用SD-KEY内置的公钥算法可以实现对用户身份的认证。

SD-KEY认证

对持SD-KEY人、服务系统两方的合法身份做认证，SD-KEY可以做到对持SD-KEY人、对服务系统的两方的合法性认证。

SD-KEY具有两种认证方法：

持SD-KEY者合法性认证——PIN校验

服务系统合法性认证——外部认证

1、持SD-KEY者合法性认证：

2、系统合法性认证（外部认证）过程

安全性保证

SD-KEY与外界进行数据传输时，若以明文方式传输，数据易被载获和分析。同时，也可以对传输的数据进行窜改，要解决这个问题，SD-KEY提供了线路保护功能。线路保护分为两种，一是将传输的数据进行DES加密，以密文形式传输，以防止截获分析。二是对传输的数据附加MAC（安全报文鉴别码），接收方收到后首先进行校验，校验正确后才予以接收，以保证数据的真实性与完整性。

SD-KEY的密钥存储于安全的介质之中，外部用户无法直接读取，对密钥文件的读写和修改都必须由SD-KEY内的程序调用。从SD-KEY接口的外面，没有任何一条命令能够对密钥区的内容进行读出、修改、更新和删除。保持SD卡的原有存储功能。